Andorid Forensic – Automated data collection and reporting (DroidJack)

In this research, a prototype enterprise monitoring system for Android smartphones was
developed to continuously collect many data sets of interest to incident responders, security auditors, proactive security monitors, and forensic investigators. Many of the data
sets covered were not found in other available enterprise monitoring tools. The prototype
system neither requires root privileges nor the exploiting of the Android architecture for
proper operation, thereby increasing interoperability among Android devices and avoiding
a spyware classi
fication for the system. An anti-forensics analysis on the system was
performed to identify and further strengthen areas vulnerable to tampering. The contributions of this research include the release of the
first open-source Android enterprise
monitoring solution of its kind, a comprehensive guide of data sets available for collection
without elevated privileges, and the introduction of a novel design strategy implementing
various Android application components useful for monitoring on the Android platform.

Analysis of Physical Image Acquisition Forensic Tools for Android Smartphones

Mobile phones play an important role in our lives, especially smartphones. With the tremendous growth of the mobile device market, the possibility of using them in criminal activity will continually increase. Android is one of the highly competitive platform in the market. Android used by many manufactures to run different models, causing a strong diversity. Thus, the difficulty of physical image acquisition of android based smartphones arises, especially, when the source code of latest Android version is released too late. As a consequence, the available smartphones with latest versions memory cannot be acquired using available smartphone forensic tools. This paper gives a comprehensive perspective of some of the mobile device forensic tools that offer physical acquisition. A comparative analysis of these tools is performed based on different parameters which includes: cost, integrity, data recovery, usability, ways to export data forensic phases support, and supporting generic android smartphones.

Akıllı Android Telefonlar İçin Fiziksel Adli Imaj Edinim Araçları

Cep telefonları, özellikle de akıllı telefonlar hayatımızda önemli bir rol oynamaktadır. Mobil cihaz pazarının muazzam büyümesiyle, onları suç faaliyetinde kullanma imkânı da sürekli artacak. Android, piyasadaki son derece rekabetçi platformlardan biridir. Birçok üretici tarafından kullanılan Android, farklı modelleri çalıştırmak için kullanılıyor ve bu da güçlü bir çeşitliliğe neden oluyor. Böylece, Android tabanlı akıllı telefonların fiziksel imaj ediniminin zorluğu, özellikle son Android sürümünün kaynak kodu çok geç yayınlanması ile ortaya çıkıyor. Sonuç olarak, en yeni sürüm belleğe sahip mevcut akıllı telefonlar, mevcut akıllı telefon adli araçları kullanılarak edinilemez. Bu yazıda, fiziksel olarak edinme olanağı sunan bazı mobil cihaz adli araçlarının kapsamlı bir perspektifi verilmektedir. Bu araçların karşılaştırmalı analizi, maliyet, bütünlük, veri kurtarma, kullanışlılık, adli veri aşamalarını dışa aktarma yolları ve genelleştirilmiş android akıllı telefonları destekleme yöntemlerini içeren farklı parametrelere dayanarak gerçekleştirilmiştir.

Android akıllı telefonların firmware(bellenim) güncelleme protokollerine dayalı yeni bir edinim yöntemi

Android 6’nın piyasaya sürüldüğü şu zamanlarda pazardaki iOS payı artmış olsa da, akıllı telefon pazarında, Android hakim işletim sistemi olmaya devam ediyor. Piyasaya sürülen çeşitli Android akıllı telefonlar için veri toplama ve analizini gerçekleştiren adli çalışmalar
yürütülmektedir. Bununla birlikte, yeni Android güvenlik teknolojilerinin uygulanması ile
mevcut adli yöntemleri kullanarak veri edinmek daha zor hale gelmektedir. Bu sorunu çözmek için, Android akıllı telefonların firmware (bellenim) güncelleme protokollerini analiz etmeye dayalı yeni bir inceleme yöntemi önermekteyiz. Android akıllı telefonların fiziksel olarak edinilmesi ile önyükleme yükleyicisinde (bootloader) yer alan firmware güncelleme protokolü, tersine mühendislik yapılarak flash bellek okuma işlemi gerçekleştirilebilir (imaj alma). Deneysel sonuçlarımız, önerilen yöntemin ekran doğrulama kilidi aktif akıllı telefonlarla (USB hata ayıklama devre dışı bırakılmış [USB Debug] olsa dahi) bütünlük garantisi, edinim hızı ve fiziksel döküm açısından mevcut adli bilişim yöntemlerine göre daha üstün olduğunu göstermektedir.

New acquisition method based on firmware update protocols for Android smartphones

Android remains the dominant OS in the smartphone market even though the iOS share of
the market increased during the iPhone 6 release period. As various types of Android
smartphones are being launched in the market, forensic studies are being conducted to
test data acquisition and analysis. However, since the application of new Android security
technologies, it has become more dif
ficult to acquire data using existing forensic methods.
In order to address this problem, we propose a new acquisition method based on analyzing
the
firmware update protocols of Android smartphones. A physical acquisition of Android
smartphones can be achieved using the
flash memory read command by reverse engineering the firmware update protocol in the bootloader. Our experimental results
demonstrate that the proposed method is superior to existing forensic methods in terms of
the integrity guarantee, acquisition speed, and physical dump with screen-locked smartphones (USB debugging disabled)

Evaluating The Privacy Of Android Mobile Applications Under Forensic Analysis(2014)

In this paper, we investigate and evaluate through experimental analysis the possibility of
recovering authentication credentials of mobile applications from the volatile memory of
Android mobile devices. Throughout the carried experiments and analysis, we have,
exclusively, used open-source and free forensic tools. Overall, the contribution of this
paper is threefold. First, it thoroughly, examines thirteen (13) mobile applications, which
represent four common application categories that elaborate sensitive users’ data, whether
it is possible to recover authentication credentials from the physical memory of mobile
devices, following thirty (30) different scenarios. Second, it explores in the considered
applications, if we can discover patterns and expressions that indicate the exact position of
authentication credentials in a memory dump. Third, it reveals a set of critical observations regarding the privacy of Android mobile applications and devices.

 

Adli Bilişim Açısından Android Mobil Uygulamalarının Gizliliğini Değerlendirmek

Bu çalışmada Android işletim sisteminin RAM adı verilen geçici/uçucu belleğinde yer alan çeşitli Android uygulamalarına ait kimlik doğrulama verilerinin elde edilmesine yönelik teknikler hakkında incelemeler yapılmıştır. Çalışma sırasında tamamen açık kaynak kodlu inceleme araçlarından yararlanılmıştır.  Birinci bölümde hassas kullanıcı verisi içerebilecek çeşitli kategorilerde 13 farklı Android uygulamasının kimlik doğrulama bilgileri, 30 farklı senaryo altında, mobil aygıtın fiziksel belleğinden ayıklanarak hassas verileri elde edilmiştir. İkinci bölümde elde edilen bellek dökümleri içerisinde, ilgili uygulamaların hassas verilerinin yer aldığı bellek konumları tespit edilmiştir.  Üçüncü bölümde ise toplanan veriler  ışığında Android mobil uygulamaların ve cihazların mahremiyeti ile ilgili bir dizi kritik gözlem sonucu ortaya koyulmuştur.

Breaking Antivirus Software Joxean Koret, COSEINC

Bu döküman çoğu BT’cinin hangi antivirüs daha iyidir sorusuna verebileceği faydalı ileri teknik bilgiler içeriyor. Dökümanda Panda AV itin g*tüne sokulmuş durumda. Kaspersky’nin public olmuş zafiyetleri ile alakalı umursamaz tavrına değinilmiş. Bitdefender (“Security service” my ass)’in ise kolayca exploit yazılabilecek bir AV olduğuna atıf yapılmış. Hemen hemen tüm antivirüslerin zafiyet ve ve eksik yanları hakkında hafif alaycı bir üslupla incelemelerin yapıldığı faydalı bir sunum.

CIA: Rain Maker v1.0 User Guide

Bu kılavuzda yer alan bilgiye göre. CIA Rain Maker adında zararlı yazılım bulaşma yazılımı VLC media player ile çalışyor. Flash belleğin alternate stream’ına kaydedilen şifrelenmiş asıl zararlı decrypt edilip çalıştırılıyor ve bilgisayarda RoadRunner kod adı verile prosedürde yer alan araştırma sonuçlarını yine aynı flash belleğin alternate data stream’ine şifreli olarak yazıyor. Böyle bir çalışma antivirüslere yakalanmama ve gizlilik içinde karşı taraftan bilgi çalmak için yeterli özellikte olduğunu gösteriyor.

Bitcoin özelinde kripto para gerçeğinin hukuki açıdan incelenmesi

Kripto para, son yıllarda özellikle online suç çevrelerinde oldukça yaygınlaşan, güvenli hızlı ve anonim bir ödeme yöntemi sunan yeni bir teknolojidir. Özellikle anonimlik sağlama özelliği ile internet üzerinden yapılan ödemelerdeki kullanılma sıklığı önemli ölçüde artımıştır. Global ölçekte kullanılan ilk kripto para olan BitCoin’in ardından yüzlerce benzeri çıkmış ve hayatı hem iyi hem de kötü yönde hızla değiştirmeye devam etmektedir.

Kripto para denilen olgu sadece bir sayısal değerden ibarettir. Bir kripto para ait olduğu matematiksel algoritma/formülasyonun doğal sonucu olarak; herhangi bir merkezi para yönetim otoritesine bağlı olmayan, takip edilemeyen, yok edilemeyen ve yoktan da var edilemeyen bir maddi değer sunar. Kripto para bir ödeme aracı olarak kullanılabilildiği gibi aracı firmalar tarafından da herhangi bir finansal değere (USD, EURO vb) de kolaylıkla dönüştürülebilir.
Bu çalışmada kripto paranın değerinin nasıl oluştuğu, değerlemesinin nasıl gerçekleştiği, bu değer üzerinden yaratılan hizmet ve mal alım faliyetlerinin sosyal, ekonomik ve hukki açıdan yarattığı sorunlar ve faydalar üzerine odaklanılmıştır.

Trying to Understand Android Boot Process From Scratch

Android cihazları root’lamaya çalışırken android cihazın açılış sürecini merak ettim ve küçük bir araştırmaya girdim. Sonra büyüdü tabi. Çok şey öğrendim. Öğrendiklerimi bir akış şemasında derli toplu bir hale getirmek isteyince de “Android Boot Process” şeması ortaya çıktı. Şemayı uzmanlarına teyit ettiremedim umarım hatalı bir yerleri yoktur.